監視自動化規則和劇本的健康情況
若要確保 Microsoft Sentinel 服務中安全性協調流程、自動化和回應作業正常運作和效能,請監視其執行記錄來追蹤自動化規則和劇本的健康情況。
為相關項目關係人設定健康情況事件的通知,然後可以採取動作。 例如,定義並傳送電子郵件或 Microsoft Teams 訊息、在票證系統中建立新的票證等等。
本文說明如何使用 Microsoft Sentinel 的健康情況監視功能,從 Microsoft Sentinel 內追蹤自動化規則和劇本的健康情況。 如需詳細資訊,請參閱 Microsoft Sentinel 中的稽核和健康情況監視。
使用 SentinelHealth 資料表 (公開預覽)
若要從 SentinelHealth 數據表取得自動化健康情況數據,請先開啟工作區的 Microsoft Sentinel 健康情況功能。 如需詳細資訊,請參閱 開啟 Microsoft Sentinel 的健康情況監視。
開啟健康情況功能之後, SentinelHealth 數據表會在針對自動化規則和劇本產生的第一次成功或失敗事件時建立。
瞭解 SentinelHealth 數據表事件
下列類型的自動化健康情況事件會記錄在 SentinelHealth 資料表中:
自動化規則執行。 每當符合自動化規則的條件時記錄,導致它執行。 除了基本 SentinelHealth 數據表中的欄位之外,這些事件也會包含 執行自動化規則時唯一的擴充屬性,包括規則所呼叫的劇本清單。 下列範例查詢會顯示這些事件:
SentinelHealth | where OperationName == "Automation rule run"劇本已觸發。 每當從入口網站或透過 API 手動在事件上觸發劇本時記錄。 除了基本 SentinelHealth 數據表中的欄位之外,這些事件也會包含 腳本手動觸發的唯一擴充屬性。 下列範例查詢會顯示這些事件:
SentinelHealth | where OperationName == "Playbook was triggered"
如需詳細資訊,請參閱 SentinelHealth 數據表數據行架構。
狀態、錯誤和建議的步驟
針對自動化 規則執行 狀態,您可能會看到下列狀態:
成功:成功執行規則,觸發所有動作。
部分成功:規則執行並觸發至少一個動作,但某些動作失敗。
失敗:自動化規則因下列其中一個原因而未執行任何動作:
- 條件評估失敗。
- 符合條件,但第一個動作失敗。
針對劇本已觸發狀態,您可能會看到下列狀態:
成功:已成功觸發劇本。
失敗:無法觸發劇本。
注意
成功 表示自動化規則已成功觸發劇本。 它不會告訴您劇本何時開始或結束、劇本中的動作結果,或劇本的最終結果。
若要尋找此資訊,請查詢 Logic Apps 診斷記錄。 如需詳細資訊,請參閱 取得完整的自動化圖片。
錯誤描述和建議的動作
| 錯誤描述 | 建議的動作 |
|---|---|
| 無法新增工作:TaskName>。< 找不到事件/警示。 |
請確定事件/警示存在,然後再試一次。 |
| 無法修改屬性:PropertyName>。< 找不到事件/警示。 |
請確定事件/警示存在,然後再試一次。 |
| 無法修改屬性:PropertyName>。< 太多要求,超過節流限制。 |
|
| 無法觸發劇本:PlaybookName>。< 找不到事件/警示。 |
如果嘗試視需要觸發劇本時發生錯誤,請確定事件/警示存在,然後再試一次。 |
| 無法觸發劇本:PlaybookName>。< 找不到劇本,或 Microsoft Sentinel 遺失其許可權。 |
編輯自動化規則、尋找並選取劇本的新位置,然後儲存。 請確定 Microsoft Sentinel 有權 執行此劇本。 |
| 無法觸發劇本:PlaybookName>。< 包含不支援的觸發程序類型。 |
請確定您的劇本是以 正確的Logic Apps觸發程式開頭:Microsoft Sentinel事件或 Microsoft Sentinel 警示。 |
| 無法觸發劇本:PlaybookName>。< 訂用帳戶已停用,並標示為唯讀。 在重新啟用訂閱之前,無法執行此訂用帳戶中的劇本。 |
重新啟用劇本所在的 Azure 訂用帳戶。 |
| 無法觸發劇本:PlaybookName>。< 劇本已停用。 |
在 [自動化] 下的 [使用中劇本] 索引標籤中,或在Logic Apps 資源頁面中啟用劇本。 |
| 無法觸發劇本:PlaybookName>。< 無效的範本定義。 |
劇本定義中有錯誤。 移至 Logic Apps 設計工具以修正問題並儲存劇本。 |
| 無法觸發劇本:PlaybookName>。< 訪問控制組態會限制 Microsoft Sentinel。 |
Logic Apps 設定允許限制存取以觸發劇本。 此劇本的限制有效。 拿掉此限制,因此不會封鎖 Microsoft Sentinel。 深入了解 |
| 無法觸發劇本:PlaybookName>。< Microsoft Sentinel 缺少執行它的許可權。 |
Microsoft Sentinel 需要 執行劇本的許可權。 |
| 無法觸發劇本:PlaybookName>。< 劇本未移轉至新的許可權模型。 授與 Microsoft Sentinel 許可權以執行此劇本並重新儲存規則。 |
授與 Microsoft Sentinel 許可權以執行此劇本 並重新儲存規則。 |
| 無法觸發劇本:PlaybookName>。< 要求太多,超過工作流程節流限制。 |
等候工作流程執行的數目已超過允許的上限。 請嘗試在觸發程式並行設定中增加的值'maximumWaitingRuns'。 |
| 無法觸發劇本:PlaybookName>。< 太多要求,超過節流限制。 |
深入瞭解訂用 帳戶和租使用者限制。 |
| 無法觸發劇本:PlaybookName>。< 禁止存取。 受控識別遺失組態或已設定LogicApps網路限制。 |
如果劇本使用受控識別, 請確定受控識別已獲指派許可權。 劇本可能會有網路限制規則,以防止在封鎖 Microsoft Sentinel 服務時觸發它。 |
| 無法觸發劇本:PlaybookName>。< 訂用帳戶或資源群組已鎖定。 |
拿掉鎖定以允許鎖定範圍中的 Microsoft Sentinel 觸發劇本。 深入瞭解鎖定的資源。 |
| 無法觸發劇本:PlaybookName>。< 呼叫端缺少劇本上必要的劇本觸發許可權,或 Microsoft Sentinel 缺少劇本上的許可權。 |
嘗試視需要觸發劇本的使用者缺少劇本上的LogicApps參與者角色,或觸發劇本。 深入了解 |
| 無法觸發劇本:PlaybookName>。< 線上中的認證無效。 |
檢查您的連線在 Azure 入口網站的 API 連線服務中所使用的認證。 |
| 無法觸發劇本:PlaybookName>。< 劇本 ARM 識別碼無效。 |
取得完整的自動化圖片
Microsoft Sentinel 的健康情況監視數據表可讓您追蹤何時觸發劇本,但若要監視劇本內發生的情況及其執行結果,您也必須 在 Azure Logic Apps 中開啟診斷,以將下列事件內嵌至 AzureDiagnostics 數據表:
- {動作名稱} 已啟動
- {動作名稱} 已結束
- 工作流程 (劇本) 已啟動
- 工作流程 (劇本) 結束
這些新增的事件可讓您深入瞭解劇本中所採取的動作。
開啟 Azure Logic Apps 診斷
針對您有興趣監視的每個劇本, 為您的邏輯應用程式啟用Log Analytics。 請務必選取 [ 傳送至 Log Analytics 工作區 ] 作為您的記錄目的地,然後選擇您的 Microsoft Sentinel 工作區。
將 Microsoft Sentinel 和 Azure Logic Apps 記錄相互關聯
既然您在工作區中有自動化規則和劇本 的記錄,以及 個別Logic Apps工作流程的記錄,您可以將它們相互關聯以取得完整畫面。 請考慮下列範例查詢:
SentinelHealth
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics
| where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
| project
resource_runId_s,
playbookName = resource_workflowName_s,
playbookRunStatus = status_s)
on $left.runId == $right.resource_runId_s
| project
RecordId,
TimeGenerated,
AutomationRuleName= SentinelResourceName,
AutomationRuleStatus = Status,
Description,
workflowRunId = runId,
playbookName,
playbookRunStatus
使用健康情況監視活頁簿
自動化健康情況活頁簿可協助您可視化健康情況數據,以及我們剛才提及的兩種記錄類型之間的相互關聯。 活頁簿包含下列顯示:
- 自動化規則健全狀況和詳細數據
- 劇本觸發健康情況和詳細數據
- 劇本會執行健康情況和詳細數據(需要在劇本層級啟用 Azure 診斷)
- 每個事件的自動化詳細數據
例如:
選取 [ 自動化規則 ] 索引標籤所執行的劇本,以查看劇本活動。
選取劇本以查看其在下方向下切入圖表中的執行清單。
選取特定回合以查看劇本中動作的結果。
下一步
- 瞭解 Microsoft Sentinel 中的稽核和健康情況監視。
- 在 Microsoft Sentinel 中開啟稽核和健康情況監視 。
- 監視數據連接器的健康情況。
- 監視分析規則的健康情況和完整性。
- 請參閱 SentinelHealth 和 SentinelAudit 數據表架構的詳細資訊。